Datendiebstahl - wie feststellen?

[Viol]

Auf den HPI Identity Leak Checker beziehe ich mich auch. Ebenso oft scheinen Dropbox Nutzerdaten dort aufzutauchen.

[mei chan]

Wenn ich das richtig interpretiere, bezieht sich neroBRN auf den HPI Identity Leak Checker und da er sagt, dass Tel., Konto usw. Betroffen waren, klingt das nicht nach einer legitimen Weitergabe durch skrill.
Kann ich aber auch falsch verstanden haben. Vielleicht kann neroBRN das noch aufklären?

Beziehe mich auch auf den HPI Identity Leak Checker. Laut diesem wurden meine Adresse, Tel, Koto usw. bei Skrill aus der Datenbank gestohlen. Dabei handelt es sich um meinen privaten Skrill Account der 2014 erstellt wurde. Als Zahlungsmittel wird Skrill bei uns im Shop nicht angeboten.

[Viol]

Ich habe mich auch schon vor Jahren von Skrill verabschiedet.
Und Skrill/ Moneybookers hat nicht informiert.

[webald]

Die sind aber nicht die einzigen, die nicht informieren. Lt. HPI wurden von mir Daten bei Adobe und der Gema abgegriffen.

Adobe hat mich informiert, die Gema nicht.

[lithoverlag]

Kurze technische Nachfrage.

Wir empfehlen die folgende Reaktion:

    Passwort: Ändern Sie Ihr Passwort für sämtliche Accounts mit der E-Mail-Adresse post@litho-verlag.de, bei denen das Passwort älter oder gleich dem angegebenen Datum ist.
    Telefonnummer: Ändern Sie bei belästigenden Anrufen gegebenenfalls Ihre Telefonnummer. Achten Sie auf betrügerische Anrufe, die sich die von Ihnen gestohlene Identität zu Nutze machen.

Soweit so gut. Kennt jemand noch alle seine Accounts die mit seiner Email eingerichtet hat? Weil eigentlich müsste man ja überall ändern

In meinem Fall ok dropbox aber was ist:
Unknown (Large Fake DFB-Leak)
Unknown (Exploit.in Compilation)  ???

Und die Zeile Whois Database ist ja wohl für die Katz Vor  und Zuname und Telefon betroffen. Muss ich ja angeben bei Int. Domains.

[Fakrae]

Ein einfacher Anfang wäre eine Suche im entsprechenden Postfach nach "account" - das sollte schonmal einen Großteil der Seiten zutage fördern "Danke für das Erstellen ihres Accounts bei xxx", "Ihr Account bei xxx"...

[lithoverlag]

Ja darüber hatte ich auch nachgedacht, wenn man sie den archiviert hat. Emailpostfach geht zurück bis 2003... das wird ne Latte werden.

Die Frage ist ja die, die Hacker finden diese Konten ja auch. Ich würde gerne den selben Weg gehen um meine Konten zu finden (geht aber wohl nur nach try and Error). Und grundsätzlich ist ja damit die Empfehlung ausgesprochen keinen Einkauf in einem Shop zu tätigen, der einen Account anlegen will. Wer hat darüber schon nach Jahren noch den Überblick??

Eigentlich bliebe nur die gesetzliche Maßnahme (die es noch nicht gibt), dass nach einem bekannt werden eines Datenbank hack alle Account Passwörter vom den Admins zurückzusetzen sind. Damit neue Passwörter angefordert werden müssen. Nur so können wir unseren eigenen Datenschutzbestimmungen Rechnung tragen und gegen Identitätsdiebstahl vorgehen.
Dabei stellt sich mir noch die Frage gibt es eine zeitliche Frist in der man ungenutzte Accounts löschen muss / kann gerade um die Karteileichen rauszufiltern, oder diejenigen zu x-en die von bots angelegt wurden.

Anregung zu einem Tool, dass Accounts nach x Monaten Untätigkeit passworttechnisch resetet, und nach weitern X- Monaten deleted, weil einfach anmailen ob für den Account noch bedarf besteht dürfen wir auch nicht.

[Fakrae]

Und grundsätzlich ist ja damit die Empfehlung ausgesprochen keinen Einkauf in einem Shop zu tätigen, der einen Account anlegen will. Wer hat darüber schon nach Jahren noch den Überblick??

Alternativ: Einen Passwortmanager benutzen und jedem Account/Shop ein eigenes Passwort geben?

[lithoverlag]

Also Passwörter nur vom System vergeben lassen, keine freie Wahl des Käufers um ein einzigartiges Passwort zu haben wäre eine Alternative, ob es die Kunden mitmachen und verstehen, dass es zu Ihrem Schutz ist?

[noRiddle (revilonetz)]

...
Und grundsätzlich ist ja damit die Empfehlung ausgesprochen keinen Einkauf in einem Shop zu tätigen, der einen Account anlegen will. Wer hat darüber schon nach Jahren noch den Überblick??
...

Das ist doch Unsinn. Als wenn die sog, Gast-Konten etwas anderes wären als ein Konto.
Abgesehen davon, daß man in vielen Shop-Systemen Gast-Konten auf "autom. löschen nach Abschluß einer Bestellung" stellen kann, sind alle Daten doch in den Bestelldaten vorhanden und jeder der Zugang hat oder sich verschafft oder "er-hackt" hat, kann die Daten abgreifen und mißbrauchen.

Daß du als Shopbetreiber nicht weißt, daß das sog. Gastkonto doch lediglich eine Beruhigung für Unwissende oder Nicht-Denkende mißtrauische Kunden ist und am Ende der Shopbetreiber ja trotzdem alle Daten hat und der Einzige der einen Nachteil hat der Kunde ist, weil er bei jeder eventuellen weiteren Bestellung alle Daten neu erfassen muß, und somit ein Gastkonto eigtl. Schaumschlägerei ist, daß du das nicht weißt wundert mich.

Wenn ein Shop natürlich Passworte in primitiven Hashes (oder gar pur) in einer DB speichert (Stichwort Rainbow Tables für md5), dann ist es natürlich besser ein Gastkonto zu haben. Das ist aber auch der einzige Grund.

Gruß,
noRiddle

[mei chan]

Die Daten der Gast-Konten könnte man per Cronjob restlos löschen.

[Fakrae]

Könnte man - darf man aber nicht Du bist verpflichtet, alles was im Zusammenhang mit dem Kauf"-vertrag" steht für 10 Jahre aufzuheben. Natürlich kannst du das offline tun und im Shop löschen, aber gerade die kleineren werden das nicht unbedingt tun.
Und selbst wenn man das könnte und dürfte - wer sagt dir, dass irgendein Shop in dem du einkaufen willst, das auch tun?

[mei chan]

Sofern die Wawi offline läuft, wäre es keine große Sache. Und im fall der Fälle ist der Schaden für den  Shopbetreiber nur halb so groß. Kleinere Shops haben kleinere Datenmengen und werden seltener angegriffen. Die machen sich da weniger Sorgen.

[noRiddle (revilonetz)]

"Gast-Konten Löschen" heißt nicht, daß die Gast-Bestellungen gelöscht werden und, wie ich bereits sagte, sind somit alle Daten wie Name, Mail-Adresse, Adresse doch weiterhin in der Shop-DB vorhanden.
Die Diskussion über Gast-Konten ist imho sinnlos.

Gruß,
noRiddle

[Roberto]

Hallo,

wenn man als Shopbetreiber Kenntnis von einem Datendiebstahl des eigenen Shops erlangt, muss man SOFORT handeln! Als erstes muss das Passwort des Administrators und der Datenbank geändert werden. Anschließend sind das BSI und alle in der betroffenen Datenbank eingetragenen Personen zu informieren. Siehe auch: http://www.it-administrator.de/themen/sicherheit/fachartikel/98645.html

Weitere Schritte wie lokaler Antivirenscan und Prüfung nach Systemupdates sind obligatorisch.

Einen Datendiebstahl für Shopbetreiber-Laien zu erkennen ist nicht so einfach, vor allem, wenn der Shop selbst problemlos läuft. Das Modul "Prüfsummenscanner" ist ein erster Schritt zu mehr Sicherheit. Am Wichtigsten sind aber Updates und Backups! Siehe auch http://t3n.de/news/datenbank-geklaut-mongodb-erpressung-782463/

Wenn man als Internetbenutzer Kenntnis von einem Datendiebstahl erlangt, müssen sofort sämtliche Passwörter geändert werden. Hier gilt die Regel, das man NIEMALS das selbe Passwort mehrfach benutzen darf. Es empfiehlt sich auch, mehrere E-Mail-Adressen für verschiedene Webshops, Portale, Foren, etc. zu verwenden. Als Passwortverwaltung eigenen sich Programme wie z.B. Keepass sehr gut.
Und natürlich ist der gesunde Menschenverstand zu benutzen.
Siehe auch: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/SozialeNetze/Notfall/notfall_node.html